Имитационное моделирование механизмов защиты компьютерных сетей от инфраструктурных атак на основе подхода "нервная система сети" тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Шоров, Андрей Владимирович

Введение

Актуальность темы диссертации. В последнее время наблюдается тенденция к увеличению количества и мощности компьютерных атак на инфраструктуру вычислительных сетей. Мощность распределенных атак типа «отказ в обслуживании» (ББоЗ-атак) значительно возросла, и преодолела барьер в 100 Гб/с. Также постоянно появляется информация о различных вирусных эпидемиях, провоцируемых сетевыми червями. Сетевые черви при распространении генерируют большие объемы трафика, вследствие чего перегружают каналы связи. Не менее опасны и другие типы инфраструктурных атак на компьютерные сети, такие как атаки на БШ-

серверы и атаки на маршрутизаторы.

Все это говорит о необходимости исследований в области защиты компьютерных сетей от инфраструктурных атак. Одним из перспективных подходов к защите компьютерных сетей от инфраструктурных атак представляется подход «нервная система сети», являющийся примером биоинспирированного подхода. Подход «нервная система сети» является метафорой нервной системы человека. Концепция данного подхода была предложена Ю. Ченом и X. Ченом. Система защиты, основанная на данном подходе, базируется на распределенном механизме сбора и обработки информации, который координирует действия основных устройств компьютерной сети, идентифицирует атаки и принимает контрмеры. Подобный подход, называемый «электронной нервной системой», описывал в своих книгах Б. Гейтс, где он предлагался в качестве механизма внутренних коммуникаций и координации работы предприятия. Механизм защиты компьютерных сетей, похожий на «нервную систему сети», предлагали в своих работах Ф. Дресслер и К. Анагностакис.

Для проектирования и реализации новых систем защиты, таких как «нервная система сети», необходимо иметь средства для их исследования, адаптации, разработки и тестирования. Исследование инфраструктурных

атак и механизмов защиты от них на реальных сетях достаточно сложный и труднореализуемый процесс. Для выполнения инфраструктурных атак требуется огромное количество вычислительных узлов, объединенных в сеть. При этом сами инфраструктурные атаки являются очень опасным явлением, так как в случае их выполнения вычислительная сеть может выходить из строя из-за перегрузок, что может приводить к выходу эксперимента из-под контроля и даже распространению атак вне экспериментальных машин. В таком случае невозможно соблюсти такие важные условия научного эксперимента, как контролируемость и повторяемость.

Таким образом, применение методов имитационного моделирования для исследования инфраструктурных атак и механизмов защиты от них представляется наиболее предпочтительным решением. Имитационное моделирование предоставляет гибкий механизм моделирования сложных динамических систем, что позволяет оперировать различными наборами параметров и сценариев, затрачивая намного меньше усилий, чем в реальных

сетях.

Целью исследования является повышение защищенности компьютерных сетей, обусловленное совершенствованием моделей, методик и алгоритмов исследовательского моделирования механизмов защиты от инфраструктурных атак на основе подхода «нервная система сети».

Для достижения данной цели в диссертационной работе поставлены и

решены следующие задачи:

1. Анализ инфраструктурных атак на компьютерные сети, механизмов защиты от них, биоподходов для защиты компьютерных сетей, включая подход «нервная система сети», и методов их моделирования.

2. Разработка моделей, реализующих инфраструктурные атаки, механизмов защиты от них и модели механизма защиты на основе подхода

«нервная система сети».

3. Разработка модели компьютерной сети.

4. Построение архитектуры системы для имитационного моделирования инфраструктурных атак и механизмов защиты от них.

5. Разработка методики имитационного моделирования инфраструктурных атак и механизмов защиты от них на основе подхода «нервная система сети» с помощью представленных моделей и архитектуры.

6. Реализация системы имитационного моделирования инфраструктурных атак и механизмов защиты от них, проведение экспериментов.

7. Оценка разработанной методики и ее сравнение с существующими. Методы исследования: Для проведения исследований использовались

следующие научные методы: системного анализа, теории вероятности, объектно-ориентированного программирования, сравнения и аналогий,

имитационного моделирования.

Объект исследования: инфраструктурные атаки на компьютерные сети и механизмы защиты от них, а также процессы моделирования компьютерных сетей, инфраструктурных атак и механизмов защиты от них.

Научная задача: разработка научно-методического аппарата (комплекса моделей, методик и алгоритмов) для исследовательского моделирования механизмов защиты компьютерных сетей от инфраструктурных атак на основе реализации подхода «нервная система

сети».

Предмет исследования: модели и алгоритмы механизмов защиты компьютерной сети от инфраструктурных атак, основанные на подходе «нервная система сети» и методы их моделирования. Результаты, выносимые на защиту:

1. Имитационные модели базовых механизмов реализации инфраструктурных атак на компьютерные сети и защиты от них.

2. Комбинированная модель и алгоритмы защиты компьютерных сетей от инфраструктурных атак на основе подхода «нервная система сети».

3. Методика имитационного моделирования механизмов защиты компьютерных сетей от инфраструктурных атак на основе подхода «нервная система сети».

4. Архитектура и программная реализация системы имитационного моделирования инфраструктурных атак на компьютерные сети на основе подхода «нервная система сети».

Научная новизна исследования заключается в следующем: 1. Разработанные имитационные модели реализации инфраструктурных атак на компьютерные сети в отличие от известных отражают реальные механизмы распространения компьютерных червей и выполнения распределенных атак типа «отказ в обслуживании» (DDoS-атак). При этом механизмы распространения сетевых червей используют дополнительные параметры, такие как вероятность успешного соединения, методики подмены IP-адреса, использование полезной нагрузки пакета, существенно повышающих адекватность модели. Кроме того, модель DDoS-атаки имеет широкий спектр подвидов атак, в т.ч. атаки типа DRDoS, и набор параметров, повышающих точность моделирования атак. В результате имитационные модели базовых механизмов защиты охватывают распространение сетевых червей и защиты от DDoS-атаки и учитывают особенности таких механизмов как Failed Connection, Virus Throttling, Source Address Validity Enforcement Protocol, Source IP Monitoring, Hop-count filtering, SYN detection и др., а также обеспечивают совместное использование комбинации нескольких механизмов, в т.ч. под управлением механизма защиты «нервная система

сети».

2. Разработанные комбинированная модель и алгоритмы защиты компьютерной сети от инфраструктурных атак на основе подхода «нервная система сети» отличаются следующими аспектами: алгоритмами сбора информации, которые используют в качестве сенсоров базовые механизмы защиты; алгоритмами принятия решений, выполняемыми на основе данных, получаемых как с удаленных серверов, так и модулей, функционирующих в

одной подсети, и позволяющими отследить и блокировать атаку у ее источника; протоколом и схемой обмена информацией, дающими возможность обмениваться данными о состоянии компьютерной сети между удаленными серверами и базовыми механизмами защиты.

3. Разработанная методика имитационного моделирования механизмов защиты компьютерных сетей от инфраструктурных атак на основе подхода «нервная система сети» основана на предложенных в данной работе моделях и алгоритмах для задач исследования инфраструктурных атак и механизмов защиты. В отличие от известных, данная методика использует единый подход к подготовке и моделированию различных типов инфраструктурных атак и механизмов защиты, а основные этапы методики автоматизированы с помощью разработанной системы имитационного моделирования. Методика учитывает основные параметры исследуемых процессов (параметры сети и ее узлов, параметры механизмов атаки и защиты, параметры механизма защиты

«нервная система сети»).

4. Разработанные архитектура и программная реализация системы имитационного моделирования инфраструктурных атак на основе подхода «нервная система сети» отличаются наличием в своем составе предложенных моделей инфраструктурных атак и механизмов защиты, возможностью выполнять моделирование инфраструктурных атак и механизмов защиты от них на моделях больших компьютерных сетей, исследовать другие механизмы защиты, основанные на биологической метафоре.

Обоснованность и достоверность представленных в диссертационной работе научных положений обеспечивается проведением тщательного анализа состояния исследований в данной области, подтверждается согласованностью теоретических результатов с результатами, полученными при компьютерной реализации, а также апробацией основных теоретических положений в печатных трудах и докладах на научных конференциях.

Практическая значимость исследования. Разработанные модели, методики и алгоритмы могут быть использованы для решения большого

класса задач, в частности позволят: исследовать инфраструктурные атаки на компьютерные сети; исследовать, проектировать и тестировать механизмы защиты от инфраструктурных атак, в т.ч. основанных на биологических подходах; повысить эффективность проектирования крупных вычислительных сетей; проводить оценивание производительности построенных вычислительных сетей; выявлять узкие места построенных вычислительных сетей и выполнять их оптимизацию; оценивать устойчивость построенных вычислительных сетей для различного вида атак; вырабатывать рекомендации для построения перспективных систем защиты.

Реализация результатов работы. Результаты, полученные в диссертационной работе, были использованы в рамках следующих научно-исследовательских работ: проект Седьмой рамочной программы (FP7) Европейского Сообщества «Проектирование безопасных и энергосберегающих встроенных систем для приложений будущего Интернет (SecFutur)», контракт № 256668, 2010-2013 гг.; проект Седьмой рамочной программы (FP7) Европейского Сообщества «Управление информацией и событиями безопасности в инфраструктурах услуг (MASSIF)», контракт № 257475, 2010-2013 гг.; «Математические модели и методы комплексной защиты от сетевых атак и вредоносного ПО в компьютерных сетях и системах, основывающиеся на гибридном многоагентном моделировании компьютерного противоборства, верифицированных адаптивных политиках безопасности и проактивном мониторинге на базе интеллектуального анализа данных», грант РФФИ № 10-01-00826-а, 2010-2012 гг.; Проект по договору с компанией F-Secure, 2010-2011 гг.; «Математические модели, методы и алгоритмы проактивной защиты от вредоносного программного обеспечения в компьютерных сетях и системах», проект по программе фундаментальных исследований ОНИТ РАН «Архитектура, системные решения, программное обеспечение, стандартизация и информационная безопасность информационно-вычислительных комплексов новых поколений», 2009-2011

гг. и др.

Апробация результатов работы. Основные положения и результаты диссертационной работы докладывались на следующих научных конференциях: Санкт-Петербургская межрегиональная конференция «Информационная безопасность регионов России (ИБРР, Санкт-Петербург, 2009, 2011)»; XIX Общероссийская научно-техническая конференция «Методы и технические средства обеспечения безопасности информации» (МТСОБИ, Санкт-Петербург, 2010, 2011); XII Санкт-Петербургская Международная Конференция «Региональная информатика-2010» («РИ-2010»); XII Национальная конференция по искусственному интеллекту с международным участием (Тверь, 2010); Международная конференция «РусКрипто» (2009, 2010, 2011); Conference on Cyber Conflict. Tallinn, Estonia, June 15-18, 2010; 4th International Symposium on Intelligent Distributed Computing - IDC'2010 (Tangier, Morocco, 2010); Девятая общероссийская научная конференция «Математика и безопасность информационных технологий» (МаБИТ-2010, Москва); V Всероссийская научно-практическая конференция «Имитационное моделирование. Теория и практика» (ИММОД, Санкт-Петербург, 2011); 16-я Международная конференция по безопасным информационным системам (NordSec, Таллинн, Эстония, 2011); Конференция «Информационная безопасность: Невский диалог - 2011»

(Санкт-Петербург, 2011 г) и др.

Публикации. По материалам диссертационной работы опубликовано 33 работы, в том числе 5 статей («Вопросы защиты информации», «Системы свободной доступности», «Изв. вузов. Приборостроение», «Труды СПИИРАН») из перечня ВАК [1] на соискание ученой степени доктора и

кандидата наук.

Структура и объем диссертационной работы. Диссертационная работа объемом 196 машинописных страниц, содержит введение, три главы и заключение, список литературы, содержащий 117 наименований, 7 таблиц, 36 рисунков.

Краткое содержание работы. В первой главе диссертации определено место и роль имитационного моделирования в задаче защиты компьютерных сетей от инфраструктурных атак, проведен анализ инфраструктурных атак и механизмов защиты от них, анализ подхода к защите компьютерных сетей на основе реализации компонентов «нервная система сети» и методов моделирования механизмов защиты, выработаны требования к имитационному моделированию механизмов защиты компьютерных сетей от инфраструктурных атак.

Рассмотрены различные методы моделирования процессов защиты информации. Выявлены их преимущества, недостатки, обозначены особенности применения того или иного метода моделирования при моделировании компьютерных сетей, механизмов атак на них и методов защиты. В соответствии со спецификой моделирования процессов защиты информации в компьютерных сетях предложено использование имитационного моделирования, как наиболее оптимального метода, позволяющего производить моделирование т.к. для моделирования инфраструктурных атак требуются создавать модели компьютерных сетей с большим количеством узлов, при этом немаловажным фактором остается как можно большая идентичность сетевых узлов реальным устройствам.

Проведен анализ сетевых атак на инфраструктуру компьютерных сетей. Рассмотрены их основные типы и особенности реализации. В качестве методов защиты от инфраструктурных атак, рассматривалось множество различных подходов, предложена их классификация. Основное внимание уделено механизму защиты компьютерных сетей на основе биологического подхода «нервная система сети». Данный подход призван объединить существующие механизмы защиты, создавая среду для кооперативного взаимодействия.

Кроме того в работе рассматривается процесс разработки имитационных моделей компьютерной сети, механизмов атак и защиты, алгоритм

верификации и оценки созданных моделей, а также сложности, возникающие при имитационном моделировании процессов защиты информации.

Во второй главе представлена модель анализируемой компьютерной сети, модели и алгоритмы реализации инфраструктурных атак на компьютерные сети, модели базовых компонентов механизмов защиты от инфраструктурных атак, комбинированные модели и алгоритмы защиты компьютерной сети от инфраструктурных атак, на основе подхода «нервная система сети».

Одним из подходов к спецификации исследуемых процессов и систем является теоретико-множественное представление. В настоящей работе предлагается теоретико-множественный подход для описания моделей инфраструктурных атак на компьютерные сети и механизмов защиты от них, и проводится формализация инфраструктурных атак, механизмы защиты от них, а также среды их взаимодействия (компьютерной сети). Также рассматриваются среда имитационного моделирования, в которой реализуются представленные формальные модели, и эксперименты, проводимые с использованием данной среды.

Третья глава посвящена представлению разработанной архитектуры системы моделирования и ее реализации, описанию прототипа системы моделирования инфраструктурных атак, механизмов защиты от них, в т.ч. механизма защиты на основе подхода «нервная система сети», реализации методики моделирования и оценке эффективности ее применения.

Предлагаемая архитектура системы моделирования иерархическая и включает в себя базовую систему имитационного моделирования на основе дискретных событий, модуль имитации компонентов сети Интернет, модуль реализации реалистичных сетевых топологий и легитимного трафика в сети, модуль реализации механизма защиты на основе подхода «нервная система сети», модули реализации инфраструктурных атак и механизмов защиты от

них.

Представлены основные этапы методики проведения имитационного моделирования инфраструктурных атак. Методика разделена на четыре основных этапа: (1) подготовительный, (2) этап задания параметров, (3) этап реализации процессов моделирования, (4) этап анализа выходных параметров. Методика позволяет исследовать механизмы атаки и защиты в зависимости от параметров моделей и сценария эксперимента. С помощью лексико-графического метода определять наилучшие стратегии выполнения расположения механизмов защиты и их параметров.

С помощью представленной методики и разработанной системы имитационного моделирования, выполнено множество экспериментов по моделированию инфраструктурных атак и механизмов защиты от них. Эксперименты по исследованию моделей защиты от инфраструктурных атак включают моделирование базовых механизмов защиты FC, VT, HCF, SIM, SAVE, SYN detection и механизма защиты «нервная система сети» работающего в кооперации с базовыми механизмами защиты. Приводятся входные и выходные данные экспериментов, делаются выводы.

Дана оценка эффективности применения предложенной методики на основе свойств своевременности, обоснованности и ресурсопотребления; она позволяет признать методику соответствующей предъявляемым требованиям.

Выводы по главе 3

1. Для реализации предложенных моделей и алгоритмов разработана многоуровневая архитектура системы моделирования. Нижний уровень, представляет собой, систему моделирования дискретных событий, которая реализована на языке низкого уровня. Промежуточные уровни реализуют объекты, необходимые для моделирования глобальной сети Интернет, такие как протоколы, типовые хосты, маршрутизаторы, топологии и модули необходимые для реализации механизма защиты «нервная система сети». Верхний уровень отвечает за имитацию процессов предметной области, включающий компоненты механизмов атаки и механизмов защиты, а также модули, дополняющие функциональность 1Р-узла, анализатор пакетов, механизмы фильтрации, модели легитимных пользователей, механизмов атаки и т.д.

2. Прототип среды имитационного моделирования разработан на основе пакета для имитационного моделирования ОМ№Т++. Прототип системы моделирования включает в себя множество функциональных подсистем. Подсистема имитации событий является основным компонентом системы моделирования. С ее помощью происходят все процессы моделирования. Содержит в себе планировщик, список сущностей (моделей), список событий выполняемых для каждой модели, временную ось. Интегрированная среда разработки включает в себя основные инструменты разработчика, такие как редактор исходных кодов, компилятор исходных кодов, отладчик и др. Для создания реалистичных моделей компьютерных сетей используется программа 11еа8ЕОи1. Модели легитимных пользователей представляют собой сложные модели узлов, состоящие из различных компонентов служащих для: функционирования модели в соответствии с уровнями эталонной модели 081; выполнение процесса легитимной деятельности; эксплуатации уязвимостей при распространении сетевых червей; атакующие модули, активирующиеся в случае выполнения атаки. В качестве механизмов выполняющих атаки на инфраструктуру компьютерной сети используются простые модули, входящие в состав моделей легитимных пользователей и подключающихся к интерфейсу передачи данных. Модели механизмов выполнены в виде простых модулей, которые с помощью специального интерфейса имеют возможность подключаться к моделям различных узлов. Подсистема сбора выходных данных состоит из модуля статистики, который получает данные от различных моделей посредством специального интерфейса. Подсистема анализа данных используется для оценки результатов моделирования используется подсистема анализа данных.

3. Представленная методика имитационного моделирования инфраструктурных атак и механизмов защиты от них определяет, как задавать параметры модели сети, параметры атаки, параметры защиты, параметры моделей легитимных пользователей. Методика описывает, какую информацию требуется подать на вход и как получить и обработать выходные данные, для проведения исследований в области защиты от инфраструктурных атак. Методика проведения имитационного моделирования инфраструктурных атак разделена на четыре основных этапа: подготовительный, этап задания параметров, этап реализации процессов моделирования, этап анализа выходных параметров. Методика позволяет исследовать механизмы атаки и защиты в зависимости от параметров моделей и сценария эксперимента и с помощью лексико-графического метода определять наилучшие стратегии расположения механизмов защиты и набора их параметров.

4. С помощью разработанной системы моделирования исследуется работа базовых механизмов защиты компьютерных сетей от инфраструктурных атак, а также механизм защиты «нервная система сети». В ходе исследования проверяется эффективность их работы при различных заданных параметрах, расположения в сети, при различных типах атак.

5. В качестве базовых механизмов разработаны модели на основе подходов VT, FC, SAVE, SIM, HCF, SYN det. Каждый метод защиты имеет набор параметров, изменение которых непосредственно влияет на уровень обнаружения вредоносных пакетов и блокировки легитимного трафика в различных компьютерных сетях. В случае исследования механизма защиты на основе подхода «нервная система сети» используются те же самые параметры, что и при проведении экспериментов по исследованию базовых механизмов защиты. Это позволит сравнить эффективность работы механизма защиты «нервная система сети» с базовыми механизмами защиты.

6. Проведенные эксперименты показали эффективность кооперации «нервной системы сети» с базовыми механизмами защиты в случае противодействия инфраструктурным атакам типа распространение сетевых червей и БОо8. Решающую роль здесь играет своевременная передача информации об обнаруженных атаках по всем АС содержащим сервера «нервной системы сети». Вследствие чего атакующий трафик, возникающий в различных сегментах сети, сразу же блокируется.

7. Результаты оценки эффективности методики проведения имитационного моделирования инфраструктурных атак и механизмов защиты от них на основе подхода «нервная система сети» показали, что методика соответствует предъявляемым нефункциональным требованиям и повышает эффективность анализа механизмов защиты от инфраструктурных атак.

8. Анализ механизма защиты «нервная система сети», с помощью разработанной методики, показал, что использование механизма защиты «нервная система сети» повышает эффективность базовых механизмов защиты от инфраструктурных атак и обеспечивает более высокий уровень защиты компьютерной сети от ББоЗ-атак по сравнению с разработанными ранее кооперативными механизмами защиты на основе многоагентного подхода.

Заключение

Данная работа предлагает модельно-методический аппарат для имитационного моделирования инфраструктурных атак и механизмов защиты от них, в т.ч. механизмов защиты основанных на биологической метафоре (для примера представлен механизм защиты на основе подхода «нервная система сети»).

1. Проведен системный анализ задачи имитационного моделирования механизмов защиты от инфраструктурных атак. Выполнены обзор атак на инфраструктуру компьютерных сетей, механизмов защиты от них и их классификации, проанализирован подход «нервная система сети». На основе рассмотренных работ предложен подход к моделированию механизмов защиты от инфраструктурных атак. Он обосновывает разработку моделей механизмов инфраструктурных атак и защиты от них, их взаимодействие при помощи механизма защиты на основе подхода «нервная система сети» с помощью данных моделей. Сформулированы требования, предъявляемые к методике.

2. Разработаны модели и алгоритмы, с помощью которых реализуются атаки на инфраструктуру компьютерных сетей и модели механизмов защиты от них. Определены модели взаимодействия механизмов атаки и защиты между собой и с моделью среды взаимодействия (компьютерная сеть). Представляемые модели и процессы взаимодействия между ними были формализованы.

3. Разработана архитектура системы имитационного моделирования инфраструктурных атак и механизмов защиты от них. Архитектура состоит из четырех компонентов: базовой системы имитационного моделирования, модуля моделирования процессов сети Интернет, подсистемы базовых компонентов «нервной системы сети» и библиотеки имитации процессов предметной области.

4. Разработана методика имитационного моделирования инфраструктурных атак и механизмов защиты от них. Представленная методика позволяет повысить эффективность анализа механизмов защиты от инфраструктурных атак на компьютерные сети, в т.ч. механизмов защиты основанных на биологической метафоре.

5. С помощью представленной архитектуры и методики реализована система имитационного моделирования инфраструктурных атак и механизмов защиты от них. Данная система моделирования использовалась для реализации экспериментов с использованием предложенных моделей и методики, что позволило провести анализ данных моделей и показать эффективность их работы.

Полученные в работе результаты позволяют описывать инфраструктурные атаки и системы защиты, используя множество параметров атаки и защиты, проводить моделирование в соответствии с предложенной методикой и оценить эффективность анализируемых механизмов защиты. Это может быть использовано для анализа систем защиты существующих сетей, а также для выработки рекомендаций по созданию перспективных систем защиты.

Разработанные в рамках диссертационной работы модели, методики и алгоритмы используются в разработках, проводимых в настоящее время лабораторией проблем компьютерной безопасности в рамках бюджетных и внебюджетных научно-исследовательских работ. Полученные в работе результаты можно использовать для: исследования инфраструктурных атак на компьютерные сети; исследования, проектирования и тестирования механизмов защиты от инфраструктурных атак, в т.ч. основанных на биологических подходах; повышения эффективности проектирования крупных вычислительных сетей; проведения оценивания производительности построенных вычислительных сетей; определения проблем и узких мест существующих вычислительных сетей и выполнения их оптимизации; оценивания устойчивости построенных вычислительных сетей для различного вида атак.

Апробация полученных результатов проводилась на 14 научно-технических конференциях. Основные результаты, полученные автором, опубликованы в 33 научных работах.

Список литературы и электронных ресурсов

1. Перечень российских рецензируемых научных журналов, в которых должны быть опубликованы основные научные результаты диссертаций на соискание ученых степеней доктора и кандидата наук, (редакция 17.06.2011 г.). http://vak.ed.gov.ru/ruy help_desk/ list/.

2. Советов Б.Я., Яковлев С.А. Моделирование систем: Учеб. для вузов. 3-е изд. М.: Высш. шк, 2001. 343 с.

3. GuizaniM., Rayes A., Khan В., Al-FuqahaA. Network Modeling and Simulation: A Practical Perspective. Wiley-Interscience, 2010.

4. Котенко И.В., Воронцов B.B., Уланов A.B. Модели и системы имитационного моделирования распространения сетевых червей // Труды СПИИРАН. Вып. 4. СПб.: Наука, 2007.

5. Wehrle К., Günes M., Gross J. (Eds.). Modeling and Tools for Network Simulation. Springer, 1st Edition, 2010. 256 p.

6. OMNeT++. http://omnetpp.org/.

7. NS-3 Simulator, http://www.nsnam.org/.

8. OPNET Network Modeler, http://www.opnet.com/ solutions/ network rd/ modeler.html.

9. Шоров A.B., Котенко И.В. Защита компьютерной сети от инфраструктурных атак на основе реализации «нервной системы сети» // XI Санкт-Петербургская Международная Конференция «Региональная информатика-2008» (РИ-2008). Материалы конференции. СПб., 2008. С.118-119.

10. Атака «отказ в обслуживании». Материал из Википедии http://ru.wikipedia.org/ wiki/ DoS-атака (по состоянию на 01.01.2011).

11. Сетевой червь. Материал из Википедии http://ru.wikipedia.org/ wiki/ Сетевой_червь (по состоянию на 01.01.2011)

12. Householder A., Houle К., Dougherty С. Computer Attack Trends Challenge Internet Security // Security & Privacy, Supplement to IEEE Computer, 2002.

13. Чечулин A.A., Зозуля Ю.В., Котенко И.В., Тишков A.B., Шоров A.B.

Методы защиты от вредоносных Web-сайтов на основе оценок репутации // Международная конференция «РусКрипто'2009».

14. Комашинский Д.В., Котенко И.В., Шоров A.B. Технология детектирования вредоносного программного обеспечения на основе методов Data Mining // Методы и технические средства обеспечения безопасности информации. Материалы XVIII Общероссийской научно-технической конференции. 29 июня — 2 июля 2009 года. Санкт-Петербург. Издательство Политехнического университета, 2009. С. 122123.

15. Комашинский Д.В., Котенко И.В., Шоров A.B. Обнаружение вредоносного программного обеспечения на базе методов интеллектуального анализа данных // Международная конференция «РусКрипто'2009». http://www.ruscrypto.ru/.

16. Комашинский Д.В., Котенко И.В., Шоров A.B. Подход к обнаружению вредоносного программного обеспечения на основе позиционно-зависимой информации // Труды СПИИРАН, Выпуск 10. СПб.: Наука, 2010. С. 144-159.

17. http://www.tadviser.iWindex.php/CTaTbH:ATaKHjaaJDNS-cepeepa.

18. Шоров A.B. Анализ DDoS-атак и механизмов защиты от них и требования к их моделированию // XII Санкт-Петербургская Международная Конференция «Региональная информатика-2010» (РИ-2010). Материалы конференции. СПб., 2010.

19. Шоров A.B. Анализ биоинспирированных подходов в области защиты компьютерных систем // XII Санкт-Петербургская Международная Конференция «Региональная информатика-2010» (РИ-2010). Материалы конференции. СПб., 2010.

20. Peng T., Leckie C., Ramamohanarao K. Survey of Network-based Defense Mechanisms Countering the DoS and DDoS Problems. ACM Computing Surveys, 2007. Vol. 39.

21. Williamson M. Throttling Viruses: Restricting propagation to defeat malicious mobile code // Proceedings of ACSAC, 2002. P. 61-68.

22. Chen S., Tang Y. Slowing Down Internet Worms // Proceedings of the 24th International Conference on Distributed Computing Systems, 2004. P. 312319.

23. Nagaonkar V., Mchugh J. Detecting stealthy scans and scanning patterns using threshold random walk. Dalhousie University, 2008.

24. Schechter S., Jung J., Berger A. Fast Detection of Scanning Worm Infections // Proceedings of the 7 International Symposium On Recent Advances In Intrusion Detection, 2004. P. 59-81.

25. Ferguson P., Senie D. Network ingress filtering: Defeating denial of service attacks which employ IP source address spoofing // RFC 2827. Internet Engineering Task Force (IETF).

26. Li J., Mirkovic J., Wang M., Reither P., Zhang L. Save: Source address validity enforcement protocol //Proceedings of IEEE INFOCOM, 2002. P.1557-1566.

27. Peng T., Leckie C , Ramamohanarao K. Proactively Detecting Distributed Denial of Service Attacks Using Source IP Address Monitoring // Lecture Notes in Computer Science, Volume 3042/2004, 2004. P. 771-782.

28. Jin C., Wang H., Shin K. Hop-count filtering: an effective defense against spoofed DDoS traffic // Proceedings of the 10th ACM conference on Computer and communications security, 2003. P. 30^1.

29. Wang H., Zhang D., Shin K. Detecting SYN flooding attacks // Proceedings of IEEE INFOCOM, 2002. P. 1530-1539.

30. Snoeren A., Partridge C., Sanchez I., Jones C., Tchakountio F., Kent S., StrayerW. Hash-based IP traceback // Proceedings of the 2001 ACMSIGCOMM Conference, 2001. P. 3-14.

31. Savage S., Wetherall D., Karlin A., Anderson T. Practical network support for IP traceback // Proceedings of the 2000 ACM SIGCOMM Conference, 2000. P. 295-306.

32. MirkovicJ., PrierG., ReiherP. Attacking DDoS at the source // Proceedings of ICNP 2002, Paris, France, 2002. P. 312-321.

33. Peng Т., Leckie C., Ramamohanarao K. Prevention from distributed denial of service attacks using history-based IP filtering //Proceeding of the 38th IEEE International Conference on Communications, 2003. P. 482-486.

34. Шоров A.B. Анализ биологических подходов для защиты компьютерных сетей от инфраструктурных атак // VI Санкт-Петербургская межрегиональная конференция «Информационная безопасность регионов России (ИБРР-2009). 28-30 октября 2009 г. Материалы конференции. СПб, 2009. С. 145.

35. Шоров А.В. Моделирование стадии формирования и сдерживания распространения бот-сети // Методы и технические средства обеспечения безопасности информации. Материалы XIX Общероссийской научно-технической конференции. 5-10 июля 2010 года. Санкт-Петербург. Издательство Политехнического университета. 2010. С.50-51.

36. Котенко И.В., Шоров А.В. Использование биологической метафоры для защиты компьютерных систем и сетей: предварительный анализ базовых подходов // Защита информации. Инсайд, 2011. № 1, С.52-57. № 2, С.66-75.

37. Philip R. et al. Enabling Distributed Security in Cyberspace. Departament of Homeland Security, 2011

38. СаенкоИ.Б., Шоров A.B., Морозов И.В. Система разграничения доступа в геоинформационных системах // VII Санкт-Петербургская межрегиональная конференция «Информационная безопасность регионов России (ИБРР-2011). 26-28 октября 2011 г. Материалы конференции / СПОИСУ. - СПб., 2011. С. 94-95.

39. Саенко И.Б., Скорик Ф.А., Шоров А.В. Метод определения ограничений масштабирования ресурсов в ГРИД-системах // Интеллект и наука: труды XI Международной научно-практической конференции, (г. Железноводск, 28-29 апреля 2011 г.). Красноярск: Центр информации, 2011. С. 133-134. ISBN 978-5-905284-08-3.

40. Котенко И.В., Шоров А.В., НестерукФ.Г. Анализ биоинспирированных подходов для защиты компьютерных систем и сетей // Труды СПИИРАН. Вып.З (18). СПб.: Наука, 2011. С. 19-73.

41. ChenY., ChenH. NeuroNet: An Adaptive Infrastructure for Network Security // International Journal of Information, Intelligence and Knowledge, 2009. Vol.1, No.2.

42. Cajal S., Pasik P., Pasik T. Texture of the Nervous System of Man and the Vertebrates: Vol. 1, Springer, 1999.

43. Гейтс Б. Бизнес со скоростью мысли. М.:Эксмо-Пресс, 2000. 480 с.

44. Ryutov Т., Zhou L., Neuman С., Leithead Т., Seamons К. Adaptive Trust Negotiation and Access Control // ACM Symposium on Access Control Models and Technologies (SACMAT'05), 2005.

45. Биддик M. Автономные вычисления: представления и реальность // Сети и системы связи, 2007, N 4. С.34-38.

46. Котенко И.В., Уланов А.В. Кооперативная работа команд агентов при защите от сетевых атак нарушения доступности // Труды Международных научно-технических конференций «Интеллектуальные системы (AIS'06)» и «Интеллектуальные САПР (CAD-2006)». М.: Физматлит, 2006. С.306-313.

47. Котенко И.В., Коновалов A.M., Шоров А.В. Моделирование бот-сетей и механизмов защиты от них // Системы высокой доступности, № 2, Т.7, 2011. С. 107-111.

48. Котенко И.В., Коновалов A.M., Шоров А.В. Агентно-ориентированное моделирование бот-сетей и механизмов защиты от них // Вопросы защиты информации, № 3, 2011. С. 24-29.

49. Котенко И.В., Коновалов A.M., Шоров А.В. Имитационное моделирование бот-сетей и механизмов защиты от них: среда моделирования и эксперименты // Труды СПИИРАН. Вып.4 (19). СПб.: Наука, 2011.С. 7-33.

50. Кормен Т., Лейзерсон Ч., Ривест Р. Алгоритмы: построение и анализ. Вильяме, 2006. 1296 с.

51. Проект Route Views, http://www.routeviews.org/

52. Gamer Т., Mayer С. Large-scale Evaluation of Distributed Attack Detection // 2nd International Workshop on OMNeT++, 2009.

53. Medina A., Matta I., Byers J. BRITE: A Flexible Generator of Internet Topologies. Technical Report 2000-005. Boston University, 2000.

54. Winick J., Jamin S. Inet-3.0: Internet Topology Generator. Technical Report UM-CSE-TR-456-02. University of Michigan, 2002.

55. Zhou S., Zhang Guoqiang, Zhang Guoqing, Zhuge Z. Towards a Precise and Complete Internet Topology Generator // Proceedings of ICCCAS, V. 3. P. 1830-1834. 2006.

56. Zhou S., Mondragon R. The Rich-Club Phenomenon. In The Internet Topology // IEEE Communications Letters, 8(3), 2004. P. 180-182.

57. Li L., Alderson D., Willinger W., Doyle J. «А first-principles approach to understanding the internet's router-level topology». ACM SIGCOMM Computer Communication Review, 2004.

58. Willinger W., TaqquM., Sherman R., Wilson D. Self-similarity through high-variability: statistical analysis of ethernet LAN traffic at the source level // In Proceedings of ACM SIGCOMM, 1995. P. 100-113.

59. Park K., Kim G., Crovella M. On the relationship between file sizes, transport protocols, and self-similar network traffic // In Proceedings of International Conference on Network Protocols. P. 171-180, 1996.

60. PangR., AllmanM., Bennett M., Lee J., PaxsonV., TierneyB. A first look at modern enterprise traffic // In Proceedings of the Internet Measurement Conference. USENIX Association. P. 15-28, 2005.

61. INET Framework, http://inet.omnetpp.org/.

62. Шоров A.B. Теоретико-множественные модели для имитационного моделирования инфраструктурных атак на компьютерные сети и механизмов защиты от них // Материалы Юбилейной 20-ой научно-технической конференции 27 июня-01 июля 2011 года. Спб.: Издательство Политехнического университета, 2011. 196 с.

63. Nazario J. Defense and detection strategies against Internet worms. Artech House, 2004.

64. Staniford S., Hoagland J., McAlerney J. Practical Automated Detection of Stealthy Portscans // Journal of Computer Security, №10, 2002.

65. Stafford S., Li J., Ehrenkranz Т., Knickerbocker P. GLOWS: A High Fidelity Worm Simulator. University of Oregon, Tech. Rep. CIS-TR-2006-11, 2006.

66. Шоров A.B., Котенко И.В. Теоретико-множественное представление имитационных моделей инфраструктурных атак и механизмов защиты от них // Пятая всероссийская научно-практическая конференция по имитационному моделированию и его применению в науке и промышленности «Имитационное моделирование. Теория и практика» (ИММОД-2011). Санкт-Петербург, 19-21 октября 2011 г. Сборник докладов. СПб.: ОАО «Центр технологии судостроения и судоремонта». 2011. С.306-310.

67. Chen Y., Hwang К., Ku W-S. Collaborative Detection of DDoS Attacks over Multiple Network Domains // Parallel and Distributed Systems IEEE. Vol. 18 Is. 12, 2007. P. 1649 - 1662.

68. Шоров A.B. Архитектура механизма защиты от инфраструктурных атак на основе подхода «нервная система сети» // VII Санкт-Петербургская межрегиональная конференция «Информационная безопасность регионов России (ИБРР-2011). 26-28 октября 2011 г. Материалы конференции / СПОИСУ. - СПб., 2011. С. 157-158.

69. Шоров А.В., Коновалов A.M., Котенко И.В. Исследовательское моделирование бот-сетей и механизмов защиты от них // Методы и технические средства обеспечения безопасности информации. Материалы XVIII Общероссийской научно-технической конференции.

29 июня - 2 июля 2009 года. Санкт-Петербург. Издательство Политехнического университета, 2009. С. 132.

70. Kotenkol., KonovalovA., ShorovA. Agent-based Modeling and Simulation of Botnets and Botnet Defense // Conference on Cyber Conflict. Proceedings 2010. CCD СОЕ Publications. Tallinn, Estonia, June 15-18, 2010. P.21-44. ISBN 978-9949-9040-1-3.

71. Kotenkol., KonovalovA., ShorovA. Agent-based simulation of cooperative defence against botnets // Concurrency and Computation: Practice Experience. John Wiley Sons, 2011. Published online in Wiley Online Library (wileyonlinelibrary.com). DOI: 10.1002/cpe. 1858.

72. Kotenko I., Konovalov A., Shorov A. Simulation of botnets and protection mechanisms against them: software environment and experiments // 16th Nordic Conference on Secure IT-Systems. October 26th-28th, 2011. Tallinn, Estonia, Preproceedings, Cybernetica, 2011. P. 119-126.

73. Коновалов A.M., Котенко И.В., Шоров A.B. Эксперименты по исследованию бот-сетей // Девятая общероссийская научная конференция «Математика и безопасность информационных технологий» (МаБИТ-2010). Москва, МГУ, 2011.

74. Коновалов A.M., Шоров А.В. Моделирование противодействия бот-сетей и механизмов защиты от них // Тринадцатая Международная конференция "РусКрипто'2011". Московская область, г.Солнечногорск,

30 марта-2 апреля 2011 г. http://www.ruscrypto.ru/.

75. Котенко И.В., Коновалов А.М., Шоров А.В. Моделирование защиты от бот-сетей в сети Интернет // XII Санкт-Петербургская международная конференция «Региональная информатика» (РИ-2010). Труды конференции. СПОИСУ: Санкт-Петербург, 2011. С. 121-132.

76. Котенко И.В., Коновалов A.M., Шоров A.B. Исследовательское моделирование бот-сетей и механизмов защиты от них. Приложение к журналу «Информационные технологии». Москва: Издательство Новые технологии, 2012, № 1. 32 с. ISSN 1684-6400.

77. Коновалов А.М., Котенко И.В., Шоров A.B. Моделирование функционирования команд интеллектуальных агентов бот-сетей и систем защиты // Двенадцатая национальная конференция по искусственному интеллекту с международным участием КИИ-2010 (2024 сентября 2010 г., г. Тверь, Россия): Труды конференции. Т. 3. - М.: Физматлит, 2010. С. 44-51.

78. Kotenko I., Konovalov A., Shorov A. Simulation of Botnets: Agent-based approach // Intelligent Distributed Computing IV. Studies in Computational Intelligence. Springer-Verlag, Vol.315 // Proceedings of 4th International Symposium on Intelligent Distributed Computing - IDC'2010. Tangier, Morocco. Springer, 2010. P. 247-252.

79. Котенко И.В., Коновалов A.M., Шоров A.B. Исследование бот-сетей и механизмов защиты от них на основе методов имитационного моделирования // Изв. вузов. Приборостроение, Т.53, № 11, 2010. С. 4245. ISSN 0021-3454.

80. Котенко И.В., Коновалов А.М., Шоров A.B. Агентно-ориентированное моделирование функционирования бот-сетей и механизмов защиты от них // Защита информации. Инсайд, 2010. № 4, С.36-45. № 5, С.56-61.

81. Коновалов А.М., Котенко И.В., Шоров A.B. Среда моделирования для имитации сетевых атак и механизмов защиты // Методы и технические средства обеспечения безопасности информации. Материалы XIX Общероссийской научно-технической конференции. 5-10 июля 2010 года. Санкт-Петербург. Издательство Политехнического университета. 2010. С.38-39.

82. ГОСТ 24.701-86. Надежность автоматизированных систем управления. Основные положения. Введ. 1987-07-01. М.: Изд-во стандартов, 1986. И с.

83. Основы сетевого планирования и управления в физической культуре и спорте, http:// books.ifmo.ru/ book/ pdf/51 .pdf

84. Система сетевого планирования и управления. Методические указания, http:// www.nntu.scimiov.ru/ RUS/ fakyl/ VECH/ metod/ orgprodl/part5.htm

85. DDOSIM — Layer 7 DDoS Simulator, http:// sourceforge.net/ projects/ddosim/.

86. Zhang Y., Wan Z. Wu M. An Active DDoS Defense Model Based on Packet Marking // Proceedings of the 2009 Second International Workshop on Computer Science and Engineering. Washington, IEEE Computer Society, USA, Vol. 1, 2009. P. 435-438.

87. Wagner A., Diibendorfer Т., PlattnerB., HiestandR. Experiences with Worm Propagation Simulations // In Proceedings of the 2003 ACM workshop on Rapid Malcode, 2003. P.34-41.

88. WeiS., MirkovicJ., SwanyM. Distributed Worm Simulation with a Realistic Internet Model // Proceedings of the 19th Workshop on Principles of Advanced and Distributed Simulation. IEEE Computer Society, USA, 2005. P.71-79.

89. Котенко И.В., Уланов A.B. Многоагентное моделирование защиты информационных ресурсов компьютерных сетей в сети Интернет // Известия АН. Теория и системы управления, № 5,2007, С.74-88.

90. Уланов А.В., Котенко И.В. Защита от DDoS-атак: механизмы предупреждения, обнаружения, отслеживания источника и противодействия // Защита информации. Инсайд, № 1, 2007. С.60-67; № 2, 2007. С.70-77; № 3, 2007. С.62-69.

91. Словарь терминов. Современные подходы к обеспечению информационной безопасности, http:// microsoft.com/ Rus/ Government/ Newsletters/ Issue22/ 07.mspx (по состоянию на 01.01.2011).

92. Российская Федерация. Законы. Закон Российской Федерации «О правовой охране программ для электронных вычислительных машин и баз данных». Федер. закон : в ред. от 23.09.92 №3523-1.

93. Российская Федерация. Законы. Закон Российской Федерации «О безопасности». Федеральный Закон «О федеральной службе безопасности» Федер. закон: в ред. от 24 декабря 1993 г. №2288 и от 30 декабря 1999 г. №226-ФЗ. М.: Ось-89, 2005. 48 с. ISBN 5-98534-290-5.

94. Федеральная программа РФ по усилению борьбы с преступностью на 1994-1995 гг., утвержденная Указом Президента РФ от 24.05.94 №1016, 1994.

95. Дискретно-событийное моделирование. Материал из Википедии http://ru.wikipedia.org/ wiki/ Дискретно-событийное_моделирование (по состоянию на 01.01.2011).

96. Астахов А. Анализ защищенности корпоративных автоматизированных систем. 2006.

97. Имитационное моделирование. Материал из Википедии http http://ru.wikipedia.org/ wiki/ Имитационноемоделирование (по состоянию на 01.01.2011).

98. Инфраструктура. Материал из Википедии http://ru.wikipedia.org/ wiki/ Инфраструктура (по состоянию на 01.01.2011).

99. Российская Федерация. Законы. Закон Российской Федерации «Об участии в международном информационном обмене». Федер. закон: от 04.07.96 №85-ФЗ.

100. Российская Федерация. Законы. Закон Российской Федерации «Об информации, информатизации и защите информации» федер. закон : в ред. от 10.01.2003 №15-ФЗ. М.: Ось-89, 2005. 32 с.

101. ГОСТ Р 50922-96. Защита информации. Основные термины и определения. Введ. 1997-07-01. М.: Изд-во стандартов, 1996. 11 с.

102. Концептуальная модель. Материал из Википедии http:// ru.wikipedia.org/ wiki/ Концептуальная_модель (по состоянию на 20.06.2011).

103. Руководящий документ Гостехкомиссии России «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа. Показатели защищенности от несанкционированного доступа к информации». М.: ГТК РФ, 1997. 18 с.

104. Метафора. Материал из Википедии http://ru.wikipedia.org/ wiki/ Метафора (по состоянию на 01.01.2011)

105. Основы информационной безопасности. Вводный курс по специальности 075500. http://intsys.msu.ru/ staff/ vnosov/ infosecurity.ppt (по состоянию на 01.01.2011).

106. Моделирование. Материал из Википедии http://ru.wikipedia.org/ wiki/ Моделирование (по состоянию на 01.01.2011)

107. Сборник руководящих документов по защите информации от несанкционированного доступа. М.: Гостехкомиссия России, 1998.

108. Псевдокод. Материал из Википедии http://ru.wikipedia.org/wiki/ Псевдокод_(язык_описания_алгоритмов) (по состоянию на 01.01.2011)

109. Руководящий документ Гостехкомиссии России «Безопасность информационных технологий. Концепция оценки соответствия автоматизированных систем требованиям безопасности информации» (проект, первая редакция), http: // www.fstec.ru/_licen/ 015.pdf (по состоянию на 01.01.2011).

110. Сетевая модель OSI. Материал из Википедии http://ru.wikipedia.org/ wiki/ Сетевая_модель_081 (по состоянию на 01.01.2011)

111. Основы защиты информации / В. А. Герасименко, А. А. Малюк. М.: МИФИ, 1997. 539 с.

112. Система. Большая Советская Энциклопедия, http:// bse.sci-lib.com/ article 102619.html.

113. Постановление Правительства РФ «Об утверждении правил присоединения ведомственных и выделенных сетей электросвязи к сети электросвязи общего пользования» от 19.10.96 №1254.

114. Узел сети. Материал из Википедии http://ru.wikipedia.org/ wiki/ Узел сети (по состоянию на 01.01.2011)

115. Internet Security Glossary (RFC2828). http:// rfc.net/ rfc2828.html (по состоянию на 01.01.2011).

116. Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К). Решение Коллегии Гостехкомиссии России №7/02.03.01 г. http:// www.confidentiality.strongdisk.ru (по состоянию на 01.01.2011).

117. Microsoft Encyclopedia of Security / M. Tulloch. Washington : Microsoft Press, 2003.416 р.